Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 3 DSGVO

Question

Ein externer Dienstleister (A) beauftragt mich, um für einen externen Dienstleister (B) und letztendlich für den Kunden von (B) = Endkunde tätig zu werden. Dies auf Basis eines Dienstleistungsvertrages. Gegenstand des Vertrages ist es im Rahmen eines SAP-Projektes gewisse Aufgaben, wie Projektmanagement, Prozessberatung, -design, Training Key-User etc. durchzuführen. Aufgrund dieser Tätigkeiten stehe ich u. a. mittels Microsoft Teams, Outlook und über SAP Transaktionen mit den Usern in Kontakt und im Austausch zu verschiedenen Themen. Über entsprechende Berechtigungen kann ich im SAP System verschiedenste Daten einsehen, wir z. B. Artikel, User, etc.
Mich würde jetzt interessieren ob wir im VGSD schon einmal dieses/solch ein Thema hatten und ob es dazu schon  verlässliche Antworten bezgl. folgender Behauptung des Dienstleisters (A) gegenüber mich gibt. Diese wären:
-der Abschluss eines AVV ist nach Artikel 28 DSGVO Vorschrift für unsere Zusammenarbeit
-ich wäre entsprechend Auftragsverarbeiter

Alexander Hohmann · Answer

Hierzu gibt es mittlerweile etwas Neues. Seit Juli 2023 ist das neue "Data Privacy Framework" mit den USA in Kraft getreten. US-Anbieter melden eine Selbstzertifizierung beim US-Handelsministerium an. Mit zertifizierten Anbietern hat man also als europäischer Dienstleister wieder eine relative Rechtssicherheit, die seit der Aufkündigung des Privacy Shields verloren war. Das in der Frage genannte Microsoft Teams ist dort mittlerweile zertifiziert.
Hier kann man nach dem Zertifizierungsstatus der Anbieter suchen:
https://www.dataprivacyframework.gov/s/participant-search
Die Notwendigkeit eines Auftragsverarbeitungsvertrags wird damit wohl nicht tangiert. Allerdings würde das Arbeiten mit nicht DPF-zertifizierten US-Anbietern wahrscheinlich einen DSGVO-Verstoß darstellen und damit von vornherein einen gültigen AVV unmöglich machen.

Maria Doro Arndt · Answer

ein Datenschutzbeauftragter darf das gerne im Detail klären!
An deiner Stelle würde ich die Stelle die herausgibt "ist Vorschrift für unsere Zusammenarbeit" , fragen "man möge bitte DSGVO-konform aufschreiben, welche Daten an dich -aus dem Unternehmen heraus in deine IT-Umgebung- zur Verarbeitung übertragen werden?"
Das ist der erste Schritt, "welche Daten werden ausgetauscht" dann wird geprüft ob überhaupt eine Auftragsverarbeitung vorliegt.
Zurücklehnen, entspannen.

Alexander Hohmann · Answer

Die DSGVO hat als Schwerpunkt den Schutz personenbezogener Daten, nicht von Unternehmensgeheimnissen. Daher ist zu klären, ob überhaupt personenbezogene Daten verarbeitet und vor allem gespeichert werden.
Bei Nutzung von Microsoft-Lösungen wie Outlook und Teams kann es allerdings eine gut Vorsichtsmaßnahme sein, einen Auftrags(daten)verarbeitungsvertrag abzuschließen, da es in Deutschland keine wirkliche Rechtssicherheit zu dem Thema gibt und sich auch die Landesdatenschutzbehörden nicht einig sind. Das mag manchmal ein bisschen übertrieben wirken, strahlt aber gegenüber Auftraggebern wahrscheinlich auch Seriosität aus.
Und es ist kein großes Ding. Vertragsmuster gibt es im Internet. Hier zum Beispiel das Muster des Verbands BITKOM:
https://www.bitkom.org/sites/default/files/file/import/170515-Auftragsverarbeitung-Anlage-Mustervertrag-online.pdf

Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 3 DSGVO

1 Person fragt sich das

3 Antworten

Akzeptierte Antwort

Akzeptierte Antwort

Akzeptierte Antwort

Anmeldung benötigt

Kommende Experten-Talks

Du hast deine E-Mail-Adresse noch nicht bestätigt

Du hast deine E-Mail-Adresse noch nicht bestätigt

Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 3 DSGVO

1 Person fragt sich das

3 Antworten

Akzeptierte Antwort

Akzeptierte Antwort

Akzeptierte Antwort

Anmeldung benötigt

#